從 2022 年 Ronin Bridge 遭駭 6.25 億美元,到 2025 年的多起高調攻擊,北韓駭客正將加密世界視為提款機。資安公司 Oak Security 分析,他們不再只是用漏洞攻擊智能合約,而是瞄準 Web3 團隊最脆弱的一環:人。這場攻防戰,已不再是技術與技術的對決,而是安全文化與鬆散管理的拉鋸戰。
(水家人流下眼淚!Sui 主要 DEX Cetus 丟失超過 2.6 億美元,蒸發 83% TVL)
Table of Contents
Toggle北韓駭客火力全開,2025 年再盜數十億美元
北韓背景的駭客行動愈發活躍。僅在 2025 年,他們就發起一連串針對加密產業的高精度攻擊行動,意圖盜取資產、滲透核心團隊。他們試圖從交易所 Bybit 中竊取價值高達 15 億美元 的資產,利用假徵才信騙取帳密,並已成功洗出數百萬美元。
此外,他們還針對 MetaMask 與 Trust Wallet 發動惡意程式攻擊,試圖透過「偽裝成求職者」的方式滲透交易所內部,更在美國境內設立空殼公司,專門鎖定加密開發者下手。
這些攻擊越來越精細,手段越來越多元,但核心並不在於技術突破,而是針對「操作安全」的破綻下手。
(北韓駭客盯上台灣交易所?BitoPro 幣託遭駭失 1150 萬美元,疑似與 Bybit 15 億失竊案同集團)
駭客不再找漏洞,他們只找人類失誤
Web3 團隊長年專注在智能合約安全,卻普遍忽略組織運營中的營運安全問題(OPSEC,Operational Security)。來自 Oak Security 的專家指出,該公司已對 600 多個加密專案進行安全審計,發現大多數團隊對營運安全幾乎沒有設防。
常見問題包括:
私鑰管理鬆散
貢獻者透過 Discord 入職,未經任何身份驗證
關鍵代碼從未加密的個人筆電直接部署
治理與資金決策透過 Discord 投票進行
這些錯誤,讓專案團隊成為「不費吹灰之力」的攻擊對象。
僅靠程式碼防守,不足以抵禦現代攻擊
傳統智慧認為「只要智能合約審計通過,系統就安全了」,但現實卻完全相反。駭客根本不需要突破 Solidity 的零日漏洞,只要滲透一位內部人員,就能癱瘓整個專案。
2025 年 5 月,Coinbase 就因一名海外客服人員遭到駭客賄賂,導致客戶資料外洩,面臨 1.8 億至 4 億美元 的賠償與勒索風險。同樣的手法也試圖應用於 Binance 與 Kraken。
這些事件都不是技術錯誤,而是人為疏失。
Web3 的日常作業,成了駭客天堂
目前 Web3 團隊的日常操作堪稱駭客夢想:
無正式入職流程
無設備控管與端點防護
關鍵治理與財務會議紀錄存放於未加密的 Google Docs 或 Notion
發生事故時無應變計劃,只能「靠 Discord 臨時協調」
更令人擔憂的是,有些 DAO 掌管上億美元資產,卻用業餘的 Discord 投票與「週末版多簽」進行治理,安全漏洞如同開門迎賊。
傳統金融如何守住百億資產?Web3 該學習的地方還很多
傳統金融(TradFi)機構同樣面對來自北韓駭客與全球網攻壓力,但鮮少因此停擺,靠的是系統性防禦與成熟的安全文化。
銀行內部制度包含:
員工無法從個人設備操作交易
嚴格的身份與設備管理
明確分工與職責隔離
定期演練事故應變計劃
這些都不只是「為了合規」,更是保命之道。Web3 若真想長久發展,就得從這些制度中學習,打造符合去中心化特性的全方位安全框架。
安全不該只是「選配」,Web3 需要徹底改革文化
一些前衛項目已開始導入:
制式的 OPSEC 準則
紅隊演練(Red Team Simulations)
使用硬體錢包搭配多簽治理
背景審查與身份驗證機制
安全專責人與外部顧問常駐
但可惜的是,這類措施仍是少數例外,絕非產業常態。
去中心化不是不負責任的藉口
Web3 安全落後的一個核心原因,是「去中心化」與「安全控制」之間的矛盾。許多團隊預算不足、人員流動性高,甚至對資安有文化抗拒,認為「設定防火牆就是中心化」。
但現實很殘酷:北韓駭客已在系統內部,世界經濟也正逐步建立在區塊鏈之上。
若 Web3 繼續容忍這樣的運營鬆散,駭客與詐騙集團將會持續視其為「永續資金池」。要止血,不是寫出完美程式碼,而是建立更成熟的組織安全文化。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
談及加密貨幣支付的未來模樣,其實是在追問一個本質問題:到底什麼樣的支付方式,才是加密世界真正的解法?是刷卡消費、還是不需要中介匯兌就能無縫出金?本文從三位市場參與者的視角切入,重新釐清問題與潛在答案。
Table of Contents
Toggle不是失敗,而是結束過渡:Infini 為什麼放棄 U 卡?
幾天前,加密支付新創 Infini 宣布關閉其個人用戶加密金融卡 (U 卡) 業務,引發外界惋惜,不過對內部來說,這似乎是一個早已能預見的未來。
(Infini 宣布關閉加密金融卡服務:U 卡注定被傳統金融支付路徑卡死了嗎?)
Infini 共同創辦人郡主在昨日與律動的專訪中直言,U 卡雖有成效,但跟原本該公司「幫用戶把 DeFi 收益變得簡單」的初衷背道而馳:
U 卡其實是在把穩定幣兌成 USD,最後又刷進傳統金融體系,這就是在開歷史的倒車。
合規成本高、退款流程冗長繁瑣、TVL 未與持卡用戶數同步成長,最終讓團隊認清,U 卡業務其實是一個偏離方向的插曲:「我們該做的是專注於幫用戶理財。」
Infini 的放棄,不是因為支付需求不存在,而是因為它意識到:「卡片不是最終解法,只是對現狀的一種妥協。」
U 卡的使用場景只是過渡性解法,未來應該是直接用穩定幣支付。
穩定幣原生支付:加密世界的真正終局
郡主口中的終局,是「用戶不再需要出金、不再透過卡片,只要用錢包發送代幣就能支付」。這乍聽之下遙不可及的情況,從 Telegram mini-apps 到中國京東集團,似乎越來越多平台正試圖將穩定幣支付,原生整合進入自家的產品體驗。
吳說區塊鏈主編 Colin Wu 在他的三層理論中也觀察到,加密領域代表鏈上原生生態 (BTC、DeFi 等) 的「最內層」雖已飽和,但穩定幣、支付和清算等「第二層」應用仍潛力無窮:
回過頭來看,這是「第三層」的傳統金融做不到,最內層向外攻也難以為繼,只有第二層擅長的地方。
(京東創辦人劉強東佈局穩定幣:跨境支付費用降九成、10 秒內完成匯兌)
而這場突圍,必須避開打著去中心化口號卻走回傳統架構的產品模式。真正的加密原生支付應該是在鏈上就能發送、接收並確認,用戶以穩定幣即時結算,而非從卡片扣款走銀行清算。
心理門檻與技術門檻同樣重要:信用卡代幣回饋是好點子嗎?
相比郡主與 Colin 的產品與產業觀察,加密 KOL @VannaCharmer 從行為財務學 (Behavioral Finance) 的角度出發,以 Coinbase One Card 信用卡為例,強調「用信用卡點數自動投資高風險資產」是一個相當好的點子,利用用戶對「點數不是錢」的心理錯覺,降低進入加密世界的門檻:
心理戰術很有效,信用卡點數感覺像是「免費的錢」,反正他本來就不是你的。失去 500 美元的點數比起從投資帳戶中失去 500 美元,感覺痛苦要小得多,即便這概念上是一樣的。
(Coinbase 攜手美國運通推出信用卡,50 鎂年費享 BTC 4% 消費回饋和旅遊保險)
儘管這本身並非廣義上的加密原生支付產品,但這仍是一個相當好的案例,體現要達到加密支付終局,不能只談技術與商戶端,還要讓用戶願意進場並敢於使用,確保真正的普及。
打破中介,走向鏈上支付的未來
深思郡主「我們不該讓加密支付回歸銀行體系」這句話時,指的不只是產品設計,而是整個加密領域該如何定義自己、要走出什麼樣的道路:是繼續在傳統金融的邊緣臨摹 Web2 玩法?還是重新打造屬於自己的支付與結算體系?
(寫在 ABCDE Capital 退場後:當 VC 相繼下班,加密還有值得 Build 的未來嗎?)
U 卡不是錯誤,也不會是最終答案,但仍激盪了創新設計的可能。期待未來加密支付大規模採用到來的那一天,我們甚至不再需要特地稱它為「加密支付」的那一天。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
